احتمال افشای اطلاعات اپراتورهای تلفن همراه
موبنا – بیش از یک ماه از انتشار گزارشی پیرامون ناامنی سایت اپراتورها با رویکرد عدم وجود پشتیبانی از پروتکل SSL در صفحه مربوط به ترابرد مشترکان میگذرد که دو اپراتور ارتباطی نسبت به رفع این معضل برآمده اما تنها یک اپراتور اقدامی انجام نداده است.
حساسیت نسبت به وجود این پروتکل امنیتی در سایت اپراتورها بعد از جلسه شورای عالی فضای مجازی و تأکید بر صیانت از اطلاعات و حریم خصوصی مشترکان اپراتورهای تلفن همراه و برخورد قانونی با هرگونه سوء استفاده در این حوزه، بیش از پیش شد.
اعضای شورای مذکور بر اتخاذ تدابیر ویژهای در حوزه حفاظت از حریم خصوصی برای جلوگیری از هرگونه دسترسی غیرمجاز تاکید داشتند.
یکی از متداولترین روشهای حفاظت از اطلاعات در سطوح فردی یا سطوح بالای ملی، رمز کردن اطلاعات است بطوریکه دستیابی به اطلاعات رمز شده برای افراد غیرمجاز امکانپذیر نبوده و تنها افرادیکه دارای کلید رمز باشند بتوانند محتوای رمز را بازگشایی کنند.
برای امنسازی این ارتباطات به پروتکل SSL نیاز است که به بیان ساده یک پروتکل استاندارد امنیتی برپایه رمزنگاری اطلاعات به حساب میآید.
در این پروتکل دادههای تبادل شده بین سرویسدهنده (Server) و سرویسگیرنده (Client) توسط کلیدهای خصوصی و عمومی رمزنگاری (Encrypt) شده و در سمت دیگر رمزگشایی (Decrypt) میشود، امنیت در این پروتکل دو طرفه است یعنی در هر دو طرف، فرایند رمزنگاری و رمزگشایی انجام میگیرد.
با این حال همراه اول و ایرانسل بعد از کشف این ضعف امنیتی در سایت خود و مخصوصا در بخش ترابرد مشترکان، که با اطلاعات هویتی سر و کار دارد سریعا به سمت رفع این چالش رفتند و گواهیهای خود را برای این بخش مستقر و بروزرسانی کردند.
اما گواهی امنیتی اپراتور سوم همچنان در مرورگرهای پر کاربردی نظیر کروم منقضی هست و هیچ تضمینی بر حفاظت از اطلاعات وارد شده توسط مشترکان در بخش ترابرد نمیدهد.
اپراتورهای اول و دوم ارتباطی بالاترین سطح گواهیهای امنیتی را روی درگاههای خود نصب و نماد سبز رنگ به نشانه تأیید را به ترتیب از شرکتهای تُرکتراست و یونیزتو دریافت کردهاند.
اعتبار گواهیهای امنیت همراه اول و ایرانسل به ترتیب تا ۲۳ دسامبر ۲۰۱۶ و ۶ سپتامبر ۲۰۱۷ است.
رایتل هم علیرغم داشتن گواهی SSL از KEYNECTIS تا ژوئن ۲۰۱۷ توسط مرورگر کروم ایمن شناخته نمیشود.
کروم در حالیکه در بخش دیدگاه امنیتی سایت این اپراتور به صراحت میگوید broken HTTPS و نماد قرمز رنگی را به نشانه هشدار نمایش میدهد، همچنین میگوید:
This site uses a weak security configuration (SHA-1 Signatures), so your connection may not be private.
احتمال میرود این گواهی به دلیل غیر مجاز بودن یا داشتن ایراد فنی در شیوه نصب مورد تأیید مرورگر مذکور قرار نگرفته است.
امید میرود این اپراتور هم در رقابت با دیگران، هرچه سریعتر با بهرهمندی از گواهی امنیت دیجیتال معتبر خیال مشترکان خود و کسانیکه متقاضی ورود به این اپراتور هستند را راحت کند.
منبع: تسنیم